Как анализировать 2000 отчетов threat intelligence в год и не сходить с ума

Выстраивая защиту или реагируя на инцидент, важно понимать, кто вас атакует и что он будет делать дальше. Где брать эти знания? Ежедневно в интернете появляется от 6 до 11 полноценных многостраничных threat-intelligence-отчетов, описывающих работу группировок и ВПО, что дает около 2000 отчетов в год. Ручной анализ такого потока данных требует создания большой TI-команды. Но что делать, если такой команды нет? Доклад посвящен теме автоматического анализа потока TI-отчетов с использованием regexp, технологий ML, AI и «какой-то матери» для выявления наиболее релевантных отчетов и их перевода из человекочитаемого формата в машиночитаемый (STIX).

Николай Арефьев
«Технологии киберугроз» (RST Cloud)